DoS attacker

Denial of Service attacker är egentligen överbelastningsattacker från en eller flera datorer som skickar extremt stort antal förfrågningar över ett nätverk eller Internet till en förutbestämd destination. Dessa orimliga antal förfrågningar tvingar systemet att arbeta kontinuerligt tills den kollapsar. Det attackerade system blir otillgängligt för legitim åtkomst och användning.

Enligt Wikipedia ett av de mer uppmärksammade DDoS-attack i Sverige utfördes mot svenska Polisen den 1-2 juni 2006, troligen som en följd av att sajten The Pirate Bay stängdes den 31 maj och organisationens servrar togs i beslag. Intensiteten uppskattades vara 500 000 anrop i sekunden och den fientliga trafiken kom från flera länder. Polisens webbsajt var utslagen från kvällen den 1 juni och stora delar av den 2 juni 2006.

DDoS-attack (Distributed Denial of Service attack)

Det är en teknik som används genom att ett stort antal datorer deltar i attacker till ett nätverk, en webbplats, ett datorsystem eller en webbtjänst. I Sverige kallas attacken ibland även för en överbelastningsattack. För den drabbade kan en överbelastningsattack innebära att all server- eller förbindelsekapacitet kraschar. Den här typen av attacker slår givetvis hårt mot drabbade företag, banker och nätbutiker. Paypal, Amazon, Visa, svenska banker, Arbetsförmedlingen, Polis, Telia och CNN är några exempel på företag och myndigheter som drabbats av en överbelastningsattack.

Botnät

Det första steget i en DDoS-attack är att angriparen kapar ett större antal uppkopplade datorer och skapar ett botnät. I vissa fall kan flera hundratusen datorer kapas.

Bild 4: Botnet

Användaren är i regel helt ovetande om vad som har skett och att dennes dator används för att sänka en server eller en webbsida. Datorerna kan ha installerade program som ligger vilande under en längre tid innan de aktiveras för att initiera attacken.

Efter att ha skapat ett botnet kan angriparen skapa ett stort antal anrop till ett datasystem. Angreppet kan riktas mot en dator, en port, ett program, ett helt nätverk eller riktas mot resurser som bandbredd, diskutrymme eller processortid. Därutöver kan skadlig kod rikas mot processorn och vid attacken kan sårbarheter i operativsystemet också utnyttjas.

Det finns flera olika typer av DDoS attacker:

  • Ping of Death – en gammal exploit som gick ut på att man kunde krascha en dator genom att skicka för stora paket till den (ping  -l 65600 hostIP) Max storlek på ett paket är 65 535 bytes. Som en variant av ping of death kan istället skickas fraktioner av ett paket som innehåller ICMP begären (“missbildade paket“)

    Bild 5: Smurf-attack
  • Smurf Attack – angriparen skickar ICMP förfrågningar via en broadcastadress till en router (amplifikations maskin) som vidarebefordrar till alla enheter anslutna till ett nätverk. Enheterna svarar och svämmar den attackerade maskinen, exempelvis en annan router.
  • TCP SYN Flood – eller protokollutnyttjande attacker där klientdatorer begär kommunikation med en server och får en ACK paket tillbaka, men aldrig tackar ja paketet.